Αρχική » Hack » [ΠΡΟΣΟΧΗ] Εντοπίστηκε νέα εκδοχή του ιού της Αστυνομίας ζητώντας μάλιστα ως λύτρα για την “απελευθέρωσή τους” το ποσό των 1500€

[ΠΡΟΣΟΧΗ] Εντοπίστηκε νέα εκδοχή του ιού της Αστυνομίας ζητώντας μάλιστα ως λύτρα για την “απελευθέρωσή τους” το ποσό των 1500€

Stadio.1.Ios_.Astynomias

 

Μην ξεχνάτε να μας επισκεφτείτε στην σελίδα μας στο Facebook πατώντας στο https://www.facebook.com/Mpes.Sto.Internet.Me.Aleksisfairo  κάνοντας Like για να ενημερώνεστε εύκολα και γρήγορα για θέματα που αφορούν την ασφάλεια σας αλλά και την ασφάλεια των παιδιών σας , τις απάτες και τα ψέματα που κυκλοφορούν στο διαδίκτυο .  Συμβάλουμε όλοι στην ενημέρωση των συνανθρώπων μας , μαθαίνουμε για τα ψέματα και τις απάτες στο ίντερνετ , μαθαίνουμε να χρησιμοποιούμε σωστά το διαδίκτυο , προστατεύουμε τα παιδιά μας και εμάς  . Η προστασία των χρηστών αποτελεί κοινή ευθύνη. Η χρήση των καλύτερων τεχνολογιών και τεχνικών ασφαλείας είναι προς όφελος όλων . Για οποιαδήποτε απορία μπορείτε να κάνετε αίτημα φιλίας και στο προφίλ της σελίδας αυτής στο Facebook πατώντας ΕΔΩ αλλά και να μπείτε και στην ομάδα μας στο Facebook για απορίες , διάλογο κ.α πατώντας ΕΔΩ

 

Aναγνώστης του SecNews, εντόπισε μια νέα εκδοχή του γνωστού ιού της Αστυνομίας, που καταλαμβάνει υπολογιστές ανυποψίαστων χρηστών ζητώντας μάλιστα ως λύτρα για την “απελευθέρωσή τους” το ποσό των 1500€ !!!

Ο ερευνητής, ανέλυσε το κακόβουλο λογισμικό, προσδιορίζοντας την προέλευσή του και τα αποτελέσματα της μελέτης  δημοσιοποιούνται σε ΑΠΟΚΛΕΙΣΤΙΚΟΤΗΤΑ στο SecNews.

Προέλευση & εντοπισμός επίθεσης

Η νέα εκδοχή του “ιού της αστυνομίας” αναγνωρίστηκε σε εξυπηρετητή (server) του εξωτερικού από τον κ. Βενιέρη. Στο εξυπηρετητή είναι εγκατεστημένο λογισμικό που εξαπολύει επιθέσεις για κλοπή χρηματικών ποσών από “ανυποψίαστους χρήστες μέσω απειλής και ψυχολογικής βίας”, όπως αναφέρει χαρακτηριστικά ο ερευνητής.

Χώρα προέλευσης/στοιχεία εξυπηρετητή

Η νέα εκδοχή του “ιου της αστυνομίας” βρίσκεται τοποθετημένη στον εξυπηρετητή με IP 146.185.220.194. Το ηλεκτρονικό ίχνος υποδεικνύει ότι η εν λόγω IP ανήκει στο domain hosted-by.mdsnet.org. Ο τομέας τοποθετείται στην Ρωσία και συγκεκριμένα στην Αγία Πετρούπολη στον πάροχο υπηρεσιών Internet Petersburg Internet Network Ltd. Η γεωγραφική απεικόνιση είναι η κάτωθι

Map.Ios_.Astynomias

Ανάλυση κακόβουλου λογισμικού

Όταν step=1 ζητούνται 300€.

Προφανώς μετά το κακόβουλο πρόγραμμα οδηγείται στο Step 2 οπού εκεί ζητούνται 500€ και τέλος υπάρχει και το step 3, οπού εκεί ζητούνται 700€.

Σύνολο 1500€ για τους ηλεκτρονικούς απατεώνες ανά ανυποψίαστο χρήστη!

Το πρόγραμμα όπως αναφέρθηκε, διαθέτει μια κάποιου τύπου “νοημοσύνη” αναφορικά με τον τρόπο συμπεριφοράς που παρουσιάζει ανάλογα με την χώρα προέλευσης του θύματος:

  • Όταν καλείτε από χώρες που υπάρχει η πληροφορία για τις αστυνομικές αρχές (πχ Ελλάδα, Ιταλία κλπ) τότε μπαίνει σε λειτουργία το malware και απαιτεί από τον χρήστη χρηματικό ποσό σε 3 στάδια συνολικού ύψους 1500€
  • Όταν καλείτε από χώρες που δεν υπάρχει η πληροφορία για τις αστυνομικές αρχές (πχ Ρουμανία) τότε κάνει ανακατεύθυνση του χρήστη σε ιστοσελίδες πορνογραφικού περιεχομένου.

Την διαπίστωση αυτή έκανε ο ερευνητής με χρήση Proxies από διαφορετικές χώρες.

Εικόνες του κακόβουλου λογισμικού

1

Η Επίθεση είναι στο στάδιο 1. Ζητούνται από τον χρήστη 300€. Το banner είναι κόκκινο και… απειλητικό!

2

Η Επίθεση είναι στο στάδιο 2. Ζητούνται από τον χρήστη 500€. Παρατηρείστε το banner που άλλαξε χρώμα κι έγινε… μπλε (λιγότερο απειλητικό). Ψυχολογικά εδώ ο χρήστης θεωρεί ότι με την πληρωμή του μείωσε την… ζημιά!

3

Η Επίθεση είναι στο στάδιο 3. Ζητούνται από τον χρήστη 700€. Παρατηρείστε το banner που άλλαξε χρώμα κι έγινε… πλέον πράσινο και καθόλου απειλητικό. Αναφέρεται η πρόταση «Η υπόθεση σας έχει λήξει». Ψυχολογικά εδώ ο χρήστης θεωρεί ότι γλύτωσε πλέον με την καταβολή των 700€ !

Αξίζει να παρατηρήσουμε ότι εμφανίζονται τα logos από γνωστές Ελληνικές εταιρείες ως σημεία πώλησης των Paysafe καρτών. Τα Logos αντλούνται από την επίσημη σελίδα της Paysafe.  Αν παρατηρήσουμε το αντίστοιχο μήνυμα μέσω Ιταλίας τα σημεία πώλησης αλλάζουν (πάλι μέσα από την επίσημη ιστοσελίδα της Paysafe).

4

Σε αυτό το σημείο αξίζει να σημειώσουμε οτι η ανάλυση που παρέθεσε ο Security expert, έχει περιοριστεί στο επίπεδο του χρήστη και όχι του ειδικού ασφαλείας. Δεν αποτελεί δηλαδή εκτεταμένη ανάλυση του κώδικα τουRansomware ούτε και εκτεταμένη ανάλυση των δεδομένων του server.

O ερευνητής πραγματοποίησε εκτεταμένη ανάλυση στο συγκεκριμένο malware και εντόπισε διαφορετική συμπεριφορά του λογισμικού (σε επίπεδο κώδικα υλοποίησης) ανάλογα με τον web browser του θύματος και την διεύθυνση προέλευσης (Source IP).Επιπλέον σε εκτενή ανάλυση που πραγματοποιήθηκε με εργαλεία ελέγχου αδυναμιών σε υπηρεσίες web, προέκυψαν συγκεκριμένα ευρήματα τα οποία ίσως δεν ενδιαφέρουν και τόσο.

Τα ανωτέρω οφείλουμε να τα αναφέρουμε ώστε να μην υπάρξουν κρίσεις  της αναφοράς του ερευνητή ως “απλοϊκή”. Ο στόχος του ερευνητή είναι η ενημέρωση του αναγνωστικού κοινού για να προστατευθεί σε περίπτωση μόλυνσης με το malware και σε καμία περίπτωση η τεχνική υπερανάλυση αυτού.

Σύμφωνα με πληροφορίες έχει ενημερωθεί ήδη η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος και οι αρχές ερευνούν τα ηλεκτρονικά ίχνη προέλευσης, αν δηλαδή έχει ξεκινήσει η διασπορά της νέας εκδοχής του κακόβουλου λογισμικού ή πρόκειται για μεμονωμένα περιστατικά.

Πηγή : SecNews.Gr

Μην ξεχάσετε να διαβάσετε τα τελευταία άρθρα της σελίδας πατώντας ΕΔΩ

Θέλετε να ενημερώνεστε για όλα τα τελευταία άρθρα μας για την ασφάλεια σας στο ιντερνετ , τις απάτες και τα ψέματα του ίντερνετ, γρήγορα και εύκολα, επισκεφτείτε τη σελίδα μας στο facebook πατώντας ΕΔΩ και ενισχύστε μας πατώντας Like (μου αρέσει) ή μπείτε στην ομάδα μας πατώντας ΕΔΩ ή ακόμα και αίτημα φιλίας στο προφίλ στο Facebook πατώντας ΕΔΩ

Αρθρογράφος Ευτύχιος Αστανάστας

Δείτε επίσης

Αυτό το μωρό δεν έχασε την μητέρα του και δεν είναι η θεία του αυτή που τραγουδάει

Το διαδίκτυο και τα social media δεν είναι τόπος όμορφος και αγγελικά πλασμένος.  Ακόμα μία …